» Comodo Firewall Pro / Comodo Internet Security

Цитата:

Заработало, спасибо WIGF.
А можно ли как-нибудь поуже? Например и адреса ограничить, поскольку это большая локалка (серверов где-то около 30). Мне нужно предоставить только некоторым веткам X.X.1.X, X.X.3.X, X.X.7.X, X.X.12.X. А еще прописать бы конкретные адреса, но их много (около 15) - влом. У меня получается что на каждый адрес по две строки. Так? Как-бы прописать типа "адр1-полный доступ к FTP (только)", и так далее (типа списком).

wzn, в двойке - только по 2 правила на каждый диапазон, а это мягко говоря неудобно (сам когда прописывал несколько правил для разных DNS-серверов, т.к. они периодически менялись и их было 5 штук).
А в тройке есть полезный инструмент "My Port Sets", в котором можно создать группу "Доступ к FTP" и прописать туда сколько хочешь диапазонов или отдельных адресов, а потом эту группу использовать в нужных правилах.

Цитата:

И еще прикол.
Я попросил "входящие TCP с портов 1025-65535 на порты 1025-65535" выдавать прохождение в лог - в логе пусто, но без этой строки не работает. То есть в лог пишется не всё? Почему?

Не знаю, вроде в своё время у меня всё работало и протоколировалось нормально.

По сохранению настроек - на оф.форуме.

WIGF
wzn
а лог вообще работает странно. У меня одно время он записывал по одному событию за время работы и все, я потом повключал-выключал его, сейчас все вроде нормально...

Да когдаж уже поддержка русского языка-то в нем будет?!

acro повидимому никогда если не найдется желающий кто это сможет сделать. И небольшая проблема что надо русифицировать сами файлы а не просто добавлять отдельный файл с русским языком. Я гдето за час перевел две закладки в настройках (заменил в ресурсах английский на русский) но в настройках отображался английский язык. И так пока прийдется переводить все версии. А без исходного кода это сложно так как многие слова после перевода не влазят в кнопки.

Подскажите, поставил CIS_Setup_3.5.54375.427_XP_Vista_x32, фаервол включен но ничего не блокируется. Ставил этот же дистрибутив на другой ПК все работает. В чем может быть загвоздка? Основные отличия между ПК (на что я грешу) - bwmeter, амикон фпсу клиент, vmware bridge protocol. Стоял еще NIS2008, но я его удалил за день до того и почистил утилитой нортоновской. Куда копать?

Если перевод самой программы сложен, а help перевести можно?

Обновил CIS через интернет по модему. Точный трафик не отследил, но похоже скачалось где-то метров 10-15, не больше. В целом неплохо

По поводу перевода: вот люди грозятся его сделать - на оф.форуме.


Цитата:

Подскажите, поставил CIS_Setup_3.5.54375.427_XP_Vista_x32, фаервол включен но ничего не блокируется. Ставил этот же дистрибутив на другой ПК все работает. В чем может быть загвоздка? Основные отличия между ПК (на что я грешу) - bwmeter, амикон фпсу клиент, vmware bridge protocol. Стоял еще NIS2008, но я его удалил за день до того и почистил утилитой нортоновской. Куда копать?

ray_man, я бы копал в сторону "vmware bridge protocol" и амикона фпсу. С bwmeter у меня нормально фаер работал, правда это было с полгода назад, но эта программа в любом случае не при чём.
А после NIS могут и остатки быть, поищи в реестре, может что и оставлено нортоновцами, так сказать, "на память"

WIGF спасибо за отклик.

Цитата:

ray_man, я бы копал в сторону "vmware bridge protocol" и амикона фпсу.

Приду домой попробую их исключить.
Потом отпишусь.

Добавлено:
Удалил амикон фпсу клиент, поставил заново CIS - все работает.
Такие вот дела.

Подскажите пожалуйста какие правила нужно создать для торрента(порт 38877) в Global rules и Application rules?

AlaRic

http://forum.ru-board.com/topic.cgi?forum=2&topic=3025&start=18&limit=1#1

ну где же обещанная мультиязычность CIS... (((

Народ, а кто-нибудь может объяснить, что за модуль SafeSurf? За что он отвечает?

P. S. Уже гуглил... и там по поводу этойго модуля только стандартная формулировка, которая мне ничего не объясняет.

Цитата:

Народ, а кто-нибудь может объяснить, что за модуль SafeSurf? За что он отвечает?

MiRRR, это не модуль. Это надстройка к IE (панель инструментов).

Цитата:

MiRRR, это не модуль. Это надстройка к IE (панель инструментов).

А за что она все-таки отвечает? И нужна ли она мне, если я пользуюсь Firefox?

MiRRR, IE - это Internet Explorer. Если им не пользуешься, значит не нужна.
За что конкретно отвечает, точнее какие конкретно там функции - не знаю, т.к. не ставил за ненадобностью (использую сейчас тот же FireFox, к которому есть достаточное количество разных плагинов, в т.ч. и по проверке/ограничению открываемых ссылок).

MiRRR
SafeSurf защищает от атак использующих "переполнение буфера". Надстройка к IE идет в комплекте - называется "Ask toolbar", можно отключить потом, на работу SafeSurf не влияет.

Только начинаю работать с Комодо прошу подсказать, правильно ли я понял некоторые вещи:
1.Predefined Firewall Policies - это лишь шаблоны, сами по себе на безопасность не влияют?
2.В тройке, как и в 3.5, в принципе можно GR не задействовать, навешивая все правила в AR?
Это, конечно, несколько не соответствует традиционному подходу, но всё же...

Прошу подсказать: поставил в разделе невидимости компьютера "Define a new trusted network - stealth my ports to EVERYONE else", при проверке сканерами с сайтов при включенном фаерволе вроде никакие порты не видятся. В "my port sets" оставил несколько портов открытыми.
Через "Пуск – Выполнить – cmd.exe - OK: ввести ‘netstat –a’ –Enter" у меня вообще оказались почему - то видны порты 135 и еще чего - то, 135 закрыл через wwdc.exe ( только его там и получилось закрыть - на остальное ошибку выдает ). Я так понимаю что хоть у меня и закрыты почти все порты в my port sets - но в cmd. exe показываются те, которые могут быть определенными программами открыты?
И как же сделать так чтоб все что не надо закрыть?

Цитата:

За что конкретно отвечает, точнее какие конкретно там функции - не знаю, т.к. не ставил за ненадобностью

WIGF, зачем отвечать на вопрос, если не знаешь на него ответ?


Цитата:

SafeSurf защищает от атак использующих "переполнение буфера". Надстройка к IE идет в комплекте - называется "Ask toolbar", можно отключить потом, на работу SafeSurf не влияет.

docsan, Toolbar Ask появляется не только в IE, но и в FF, где его тоже можно отключить...

Народ. я не думаю, что SafeSurf имеет отношения к IE. Программы (вирусы), организующие переполнение буфера, напрямую к IE, как я понял, почитав ряд статей в сети, не относятся...
Кто-нибудь может ясным языком сказать, что такое SafeSurf? И что туда надо добавлять, и что он с этим добавленным делает...

MiRRR, извини.
А полную информацию по этой фиче тебе могут дать на оф.форуме COMODO сами разработчики (только по-русски они не понимают), если тут никто не ответит.

---

---

Цитата:

Только начинаю работать с Комодо прошу подсказать, правильно ли я понял некоторые вещи:
1.Predefined Firewall Policies - это лишь шаблоны, сами по себе на безопасность не влияют?
2.В тройке, как и в 3.5, в принципе можно GR не задействовать, навешивая все правила в AR?
Это, конечно, несколько не соответствует традиционному подходу, но всё же...

Perets,
1 - да, просто шаблоны.
2 - в принципе можно, но ведь удобнее закрыть для всех какой-нибудь адрес/порт в GR, чем для каждого в AR. В общем, по ситуации надо смотреть.
Я уже как-то приводил пример по закрытию исходящего броадкаста с компа (у меня провайдер за это блочит и правильно делает, чтобы народ не засорял канал):
- Разрешить исходящие DHCP-запросы (UDP с порта 68 на порт 67);
- Запретить все исходящие запросы на 255.255.255.255.
И таким образом можно застраховать себя на будущее от блокировки (прописать сразу в начале GR), если поставишь другую сетевую игрушку или какой-нить кривой софт, а он тоже начнёт флудить броадкастом.

Добавлено:

Цитата:

Прошу подсказать: поставил в разделе невидимости компьютера "Define a new trusted network - stealth my ports to EVERYONE else", при проверке сканерами с сайтов при включенном фаерволе вроде никакие порты не видятся. В "my port sets" оставил несколько портов открытыми.
Через "Пуск – Выполнить – cmd.exe - OK: ввести ‘netstat –a’ –Enter" у меня вообще оказались почему - то видны порты 135 и еще чего - то, 135 закрыл через wwdc.exe ( только его там и получилось закрыть - на остальное ошибку выдает ). Я так понимаю что хоть у меня и закрыты почти все порты в my port sets - но в cmd. exe показываются те, которые могут быть определенными программами открыты?
И как же сделать так чтоб все что не надо закрыть?

Maxjm, не понял как ты оставил несколько портов открытыми в "my port sets" ? Ведь это такой же шаблон, как "Предустановленные политики", как и "Зоны". И эти шаблоны ты можешь использовать в правилах в GR и в AR.
По поводу netstat -a: там показаны не только открытые и задействованные в данный момент порты, но и прослушивающиеся в системе. Т.е. при неотключенном NetBIOS там будут фигурировать порты 137-138, но при этом они могут быть недоступны из интернета, т.к. ты их можешь закрыть файерволом.

WIGF

Цитата:

- Разрешить исходящие DHCP-запросы (UDP с порта 68 на порт 67);
- Запретить все исходящие запросы на 255.255.255.255.

Действительно, это удобно. В шапке нет рекоммендаций по настройке GR, или я не нашел...
Для первого правила (DHCP) вроде так:
Allow UDP Out From In [Internet Zone] To Any Where Source Port Is 68 And Destination Port Is 67
А вот как грамотно закрыть броадкаст? Ну или ссылочку на нужную страницу, если не трудно.

В GR меня вот что смущает, если прописать последним правилом блок, скажем, всех входящих, то это потребует продублировать в GR все соответствующие (разрешающие) строчки из AR, верно?

Perets, в шапке по тройке конкретных рекомендаций нет. Мы об этом не писали, немного по-другому построили описание.
По броадкасту я бы так написал:
1. Allow UDP Out From IP Any To IP Any Where Source Port Is 68 And Destination Port Is 67 - адреса именно Any, т.к. первый запрос идёт с адреса 0.0.0.0, а потом для обновления адреса запросы будут идти с текущего IP (если не ошибаюсь).
2. Block IP Out From IP Any To IP 255.255.255.255 Where Protocol IP Is Any
Я у себя не пробовал, т.к. не играю в сетевые игры и софт весь проверенный, но теоретически так должно работать (правила должны быть в самом начале GR).

Цитата:

В GR меня вот что смущает, если прописать последним правилом блок, скажем, всех входящих, то это потребует продублировать в GR все соответствующие (разрешающие) строчки из AR, верно?

Ответ неоднозначный будет. Дело в том, что мы недавно с XenoZ'ом игрались с квипом инфиумом (файлы передавали) и у меня какие-то странные результаты были:
а) если в GR разрешены входящие и в AR тоже разрешены, то сразу идёт соединение (или запрос, если в AR стоит запрос), т.е. как положено работало;
б) если в GR запрещены входящие, а в AR разрешены (точнее у меня был запрос на входящие), то фаер сначала думает, блочит несколько соединений, а потом всё-таки выдаёт запрос... т.е. ненормальная какая-то реакция: типа сначала он ломался как девушка, а потом всё-таки согласился.
Странности на этом не заканчивались, потому что и правила в AR у меня по запросу глупые прописывались при входящих файлах: вместо входящих от него ко мне, прописывались исходящие от него ко мне, хотя в текущих соединениях всё верно указывалось. Может и не в фаере дело, а в квипе...
Так что посмтори, как у тебя будет работать, может просто у меня с фаером что-то...

WIGF
На русскоязычной ветке форума Комодо есть такая информация от Yuriy:

Цитата:

По умолчанию правила для приложений настроены так, что они могут контролировать любые соединения, кроме трафика "без владельца".
Примерами такого трафика являются: большинство ICMP пакетов, "бесконтрольный" трафик в случае локального прокси (например, антивирус с включенной опцией scan http traffic), VPN-трафик по протоколу GRE и т. д.
Трафик "без владельца" всегда обозначен как "Windows Operating System" в логах фаервола (firewall -> view firewall events).
По умолчанию такой трафик контролируется глобальными правилами.

Однако, есть возможность полностью исключить глобальные правила из конфигурации без ущерба для контроля трафика "без владельца", добавив Windows Operating System в правила для приложений (add -> select -> running processes -> Windows Operating System) и создав для нее соответствующие правила.

и далее:

Цитата:

Преимущества использования правил для WOS вместо глобальных правил:
- упрощается создание правил для приложений, для работы которых необходимы входящие соединения (например, торренты, др. peer2peer программы и т. д.);
- не надо открывать порты для входящих соединений для ВСЕГО трафика --только лишь для специальной программы (например, p2p и др.)

Звучит заманчиво, но не очень понятно, не мог бы прокомментировать?
Особенно в части работы с P2P, как же реализовать это преимущество.

Теперь мой лог:

Date/Time Application Action Protocol Source IP Source Port Destination IP Destination Port
25.11.2008 Windows Operating System Blocked TCP 89.179.119.XX 23499 80.240.XXX.XXX 33333
25.11.2008 Windows Operating System Blocked TCP 79.164.104.XX 63411 80.240.XXX.XXX 33333

25.11.2008 C:\WINDOWS\system32\svchost.exe Blocked UDP 80.240.XXX.XXX 1028 239.255.255.250 1900
25.11.2008 C:\WINDOWS\system32\svchost.exe Blocked UDP 80.240.XXX.XXX 1028 239.255.255.250 1900
25.11.2008 C:\WINDOWS\system32\svchost.exe Blocked UDP 80.240.XXX.XXX 1028 127.0.0.1 1028

25.11.2008 Windows Operating System Blocked UDP 172.16.22.13 137 172.16.22.255 137
25.11.2008 Windows Operating System Blocked UDP 172.16.22.69 138 172.16.22.255 138

25.11.2008 Windows Operating System Blocked UDP 172.16.24.208 51076 255.255.255.255 67
25.11.2008 Windows Operating System Blocked UDP 172.16.24.208 51089 255.255.255.255 2222

80.240.XXX.XXX - это мой IP.

В первой группе как раз ломятся ко мне по P2P на порт 33333 через WOS.
Во второй группе чем-то занят svchost, никаких всплывающих окон по нему не было, блочит втихаря и всё.
Кстати, какие правила ему надо прописывать? Процессов таких обычно несколько, вешать на ЕХЕ-шник?
В третьей группе видимо запросы по NetBios, в системе у меня закрыто через wwdc...
Четвертая группа - это входящий броадкаст чтоли?
Спасибо. )

Perets, по WOS никаких всплывающих окошек не будет, поэтому надо самому прописать нужные правила, т.е. в твоём случае разрешить входящие на порт 33333, только я бы это в правилах p2p-клиента прописал, а то через WOS для всех этот порт откроешь.
У меня, например, в WOS разрешены только входящие ICMP с доверенных/нужных IP, а все остальные входящие разрешены для конкретных приложений (и соответственно в GR стоят разрешения).
Мне именно так удобнее, да и открываю я так порт не всем, а конкретным приложениям.
Но как будет фаер понимать входящие пакеты (как без владельца или как конкретного приложения) - неизвестно. Поэтому и в твоём случае не зyfю куда вписать это правило (в WOS или в p2p), т.к. не пользуюсь p2p.

Цитата:

25.11.2008 C:\WINDOWS\system32\svchost.exe Blocked UDP 80.240.XXX.XXX 1028 239.255.255.250 1900
25.11.2008 C:\WINDOWS\system32\svchost.exe Blocked UDP 80.240.XXX.XXX 1028 239.255.255.250 1900

Во этой группе блочаться запросы службы SSDP - поиск универсальных устройств в сети. Связанные с этими запросами службы можно отключить через ПУСК-ВЫПОЛНИТЬ-services.msc, там найти "Службу обнаружения SSDP" и "Узел универсальных P'n'P-устройств", потом на них на "Свойства", на СТОП и поставить тип запуска "Отключено".

Цитата:

25.11.2008 C:\WINDOWS\system32\svchost.exe Blocked UDP 80.240.XXX.XXX 1028 127.0.0.1 1028

Это у меня разрешено. Вроде при обновлении виндоса эти соединения появляются.

Цитата:

25.11.2008 Windows Operating System Blocked UDP 172.16.22.13 137 172.16.22.255 137
25.11.2008 Windows Operating System Blocked UDP 172.16.22.69 138 172.16.22.255 138

Это, действительно, NetBIOS. Это пакеты с других компов. Т.е. блочится правильно.

Цитата:

25.11.2008 Windows Operating System Blocked UDP 172.16.24.208 51076 255.255.255.255 67

Это DHCP-запрос заблочился. От тебя запрос заблочился (адрес 172.16.24.208 - это твой IP в локалке?), только он почему-то не с того порта идёт (должен идти с порта 68)...

Цитата:

25.11.2008 Windows Operating System Blocked UDP 172.16.24.208 51089 255.255.255.255 2222

А это неизвестно что. Какая-то программа на компе броадкастит (возможно это p2p-клиент ищет серверы в сети или ещё кто-то что-то ищет).

WIGF

А, значит получается я создаю правило допустим для какой - то программы и вместо номера порта выбираю "a set оf ports" и выставляю сразу группу?
Так если порт закрыт фаерволом, то чего его там слушать то? Или программа просто настроена на него для выхода?

WIGF
Так и не ясно, что подразумевал Yuriy под "Преимуществами использования правил для WOS вместо глобальных правил", хотя это скорей у него спрашивать надо. ))

Есль у меня еще несколько непонятных строчек в логах, например
25.11.2008 IEXPLORE.EXE Blocked TCP 0.0.0.0 [Local Ports] 127.0.0.1 44080
Если этот запрос не разрешить, в инет не выйти и Сомодо не обновить, что это такое?

25.11.2008 Windows Operating System Blocked ICMP My_DNS Type(8) My_IP Type(0)
Тоже не встречал упоминаний о этом...

MiRRR
SafeSurf действительно не имеет отношения к IE, он следит за всеми приложениями на компьютере, а добавлять в него можно исключения (процессы за которыми следить не надо)

Maxjm

Цитата:

А, значит получается я создаю правило допустим для какой - то программы и вместо номера порта выбираю "a set оf ports" и выставляю сразу группу?

Именно так.

Цитата:

Так если порт закрыт фаерволом, то чего его там слушать то? Или программа просто настроена на него для выхода?

Да, именно настроена на прослушивание, она ведь не предполагает, что фаером такие пакеты режутся, вот и "ждёт у моря погоды"...

---

---

Perets

Цитата:

Так и не ясно, что подразумевал Yuriy под "Преимуществами использования правил для WOS вместо глобальных правил", хотя это скорей у него спрашивать надо. ))

Это точно. По мне нет в этом никаких преимуществ.

Цитата:

Есль у меня еще несколько непонятных строчек в логах, например
25.11.2008 IEXPLORE.EXE Blocked TCP 0.0.0.0 [Local Ports] 127.0.0.1 44080
Если этот запрос не разрешить, в инет не выйти и Сомодо не обновить, что это такое?

Это loopback - соединения на тебя же, т.е. они не выходят за рамки компа. Они нужны для работы различных программ (зависит от самих программ). Если без этих соединений IE не работает, то разреши их.
И лучше не пользоваться IE, а поставить FireFox с плагинами по защите или Opera, но это к теме отношения не имеет.

Цитата:

25.11.2008 Windows Operating System Blocked ICMP My_DNS Type(8) My_IP Type(0)
Тоже не встречал упоминаний о этом...

Это DNS-сервер пингует тебя на предмет твоего реального существования. У моего провайдера этим иногда занимаются ещё и DHCP-сервер и VPN-серверы. Такие соединения стоит разрешить, т.к. если ответа от тебя на данные запросы не будет, то и DNS-сервер тебе покажет только "фигвам".
Вот тут подробнее - http://ru.wikipedia.org/wiki/ICMP

Добавлено:
docsan, спасибо за подсказку. Я перепутал: ставил 1 раз CIS и почему-то у меня эти 2 понятия в памяти слились воедино

WIGF

Цитата:

25.11.2008 IEXPLORE.EXE Blocked TCP 0.0.0.0 [Local Ports] 127.0.0.1 44080
Если этот запрос не разрешить, в инет не выйти и Сомодо не обновить, что это такое?

Это loopback - соединения на тебя же, т.е. они не выходят за рамки компа. Они нужны для работы различных программ (зависит от самих программ). Если без этих соединений IE не работает, то разреши их.
И лучше не пользоваться IE, а поставить FireFox с плагинами по защите или Opera, но это к теме отношения не имеет.

Разобрался, порт 44080 слушает webguard от Avira, потому и не пущает, если не открыть.
IE пользоваться вовсе и не собирался, просто настраиваю фаер на пока чистой машинке. =))


Цитата:

Это DNS-сервер пингует тебя на предмет твоего реального существования.

Ага, понятно. На работу вроде никак не повлияло, но лучше открыть.

Вообще пока результат моего тестирования не утешительный: Если иметь в GR последней строчкой Block all incoming (а без этого стенка не правильная, имхо), то пользователям P2P ничего не остается, как открыть в GR порт (порты), задействованные в P2P клиенте. Открыть там можно только глобально, а это дырка.
Или я ошибаюсь, и можно решить эту проблему как-то хитро?

Цитата:

SafeSurf действительно не имеет отношения к IE, он следит за всеми приложениями на компьютере, а добавлять в него можно исключения (процессы за которыми следить не надо)

docsan
Спасибо!